0

Mapy útoků v reálném čase pro váš SOC tým

Zrovna nedávno jsem se koukal na velmi hezké animace útoků, které znám již z minulosti. Říkal jsem si, že by bylo fajn se s vámi  o ně podělit. Jedná se o animace různých typů útoků na světě. Je velmi zajímavé občas sledovat jak útoky probíhají a pokud dané společnosti nepřpravili jen animaci ve Flashi, pak jsou ty útoky docela zajímavé. Čas od času lze najít poměrně masivní útoky I na Českou republiku.

Nejprve bych začal pár statistickými informacemi, které se soustředí na narušení bezpečnosti a datové úniky. První z nich je webová aplikace běžící na stránce http://breachlevelindex.com/ . velmi zajímavý je fakt, že jen 4% dat, které někdo odcizil byla šifrována. Vzhledem k nařízení GDPR je to velmi smutný fakt, který se snad změní.

Dalším statistickým nástrojem je http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ . Tento nástroj mne velmi zaujal, jelikož je vidět ža masivní a medializované úniky v logistických a telekomunikačních firmách nejsou těmi nejhoršími na světě.

Nyní se tedy můžeme podívat na aktuálně probíhající útoky, údaje v reálném čase. Většina jich je vytvořena antivirovými společnostmi, ale rozhodně stojí za to je sledovat. První z těchto nástrojů je aplikace pod názvem NORSE, který zobrazuje útoky na NORSE Honepot infrastrukturu umístěnou ve 40 zemích. Zajímavé je, že společnost NORSE disponuje 8 miliony senzorů po celém světě, 6 000 zařízeními a analyzuje 7 PB útočníků z celého světa (http://map.norsecorp.com/#/ ).

Další kdo má obdobnou mapu je společnost Kaspersky, kde provádí web a emailové detekce. Parádní je I možnost přidat si detekční mapu na vlastní internetové stránky. Mapu lze zobrazit jako 3D zeměkouli a nebo plátno, kde jsou vidět jednotlivé útoky. Například pomocí níže uvedeného kódu. Můžete se podívat zde: https://cybermap.kaspersky.com/

<!– Insert this tag where you want the widget to render –>

<iframe width=“800″ height=“600″ src=“https://cybermap.kaspersky.com/en/widget/dynamic/dark“ frameborder=“0″>


Další zajímavostí je výrobce firewalů, DDoS filter zařízení, antispamů, atd.. a to společnost Fortinet. Obdobně jako společnost NORSE má nasazeny Honeypoty a detekuje různé typy útoků. Můžete si ji zobrazit zde: https://threatmap.fortiguard.com/

Další je obdobně jako Fortinet výrobce síťových zařízení a to společnost Check Point. Tato společnost také připravila mapu, na které zobrazuje útoky. Najdete ji na URL https://threatmap.checkpoint.com/ThreatPortal/livemap.html

Další mapou je aplikace poskytovaná společností FireEye, vykreslení mapy neposkytuje tolik informací jako ostatní aplikace, ale z důvodu výkonu zobrazuje statistická a historická data o vedených útocích. Najdete ji zde https://www.fireeye.com/cyber-map/threat-map.html

A máme tu dalšího adepta, kterým je společnost Arbor Networks, která byla částečně vytvořena Google Ideas. Tato mapa je založena na sledování dat z DDoS útoků. Informace pocházejí od cca 300 ISP poskytovatelů a je prováděno zpracování cca 130Tbps dat z globálního trafiku. Najedete ji zde: http://www.digitalattackmap.com/

Další aplikací je Trend Micro Botnet dashboard, která je malou mapou velmi jednoduše vytvořenou. Trošku mě vyděsilo to, že certifikát na daném webu není v pořádku. Mapa zobrazuje 14 dní historie dat a ukazuje informace cíle botnetu. Najdete ji zde https://botnet-cd.trendmicro.com/

Další mapou je ukázka reálného zahuštění útoky od společnosti Akamai. Vše je možné zobrazit napříč různými region a různě třídit. https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp

Další z map je mapa útoku poskytované společností Dial Telecom (T-Mobile), která zobrazuje interaktivně útoky na různé typy služeb jako VNC, SSH, e-mail, atd.. a najdete ji zde: http://sicherheitstacho.eu/start/main

U F-Secure také najdete nějakou mapu, bohužel se mi nepovedlo zjistit její reálně využití, protože mapa je dosti statická. http://worldmap3.f-secure.com/

Poslední věcí, která částečně souvisí s těmito mapami je budování Security Operations Centr (SOC), které by mělo obdobnými nástroji a mapami disponovat. Na uvedeném odkazu můžete najít velmi povedený článek, který hovoří o stavbě SOC a můžu jej určitě vřele doporučit. http://cybertechie.com/soc-architecture/

Ještě doplním pár zkratek, které by se vám mohli hodit někdy v budoucnu.

  • Computer Security Incident Response Team (CSIRT)
  • Computer Incident Response Team (CIRT)
  • Computer Incident Response Center (or Capability) (CIRC)
  • Computer Security Incident Response Center (or Capability) (CSIRC)
  • Security Operations Center (SOC)
  • Cybersecurity Operations Center (CSOC)
  • Computer Emergency Response Team(CERT)

daniel.hejda

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *